Redmine 4.2.0以前のGitアダプタの任意ファイル読み取り脆弱性 (#35085) 対応済みのご報告

2021/04/27

4月27日(日本時間)、脆弱性の修正を含むRedmine 4.2.1、4.1.3、4.0.9 がリリースされました。本リリースにより、リモートの攻撃者がGitアダプタの脆弱性を悪用してサーバ上の任意のファイルを読み取ることができる脆弱性が修正されました。

My Redmineのサービスで使用しているRedmine互換の「RedMica」(ファーエンドテクノロジー版Redmine)については、すでに修正が適用済みであることをご報告いたします。

なおMy Redmineの環境ではシステム構成上、修正適用前の状態でもこの脆弱性を悪用してサーバ上のファイルを取得することは不可能でした。

公表された脆弱性

Arbitrary file read in Git adapter (#35085)

修正内容

当社の対応

2021年4月27日、My Redmineのすべてのお客様の環境に対して本脆弱性の修正を適用しました。

※現時点では「管理」→「情報」画面の「RedMica version」に「1.2.1.stable (based on Redmine 4.1.2.devel.20401)」と表示されますが、実際にはRedmine 4.1.3に含まれるすべての脆弱性修正が適用済みです(まもなくリリースされるRedMica 1.2.2相当)。

無料で来月末まで試してみる お申し込みから10分で使えます
My Redmine サービス紹介資料 サービス紹介・マニュアル・初心者向け資料
My Redmine サービス紹介セミナー
My Redmineのサービス内容・ご利用までの流れを動画で紹介します。ご質問はチャットで受け付けご回答します。
詳細はこちら
My Redmine 初心者向けハンズオンセミナー
【無料お試し中の方限定】My Redmineの初期設定やチケットの作成・表示方法を実際に操作しながら説明するセミナーです。毎月1回開催。
詳細はこちら
無料オンライン相談会
【無料お試し中の方限定】毎週開催。じっくり相談とミニ相談会の2つのコースをご用意。お客様に合った運用や設定を一緒に考えます。
詳細はこちら